企业网络安全技术体系架构

 　　网络安全技术体系架构

　　网络安全体系架构是信息安全体系架构的一个子集，同时，网络安全体系架构有其自身的特点。网络安全体系架构可以分为网络安全技术体系和网络安全管理体系。如下图所示：

　　其中，网络安全管理体系可以纳入信息安全管理体系之中，其重点在于组织架构的建设和流程的制定。网络安全技术体系可以分二个层面来考虑，即架构安全、安全技术和配置安全。

　　1.架构安全(安全域划分)

　　安全域是一个逻辑范围或区域。同一安全域中的信息资产具有相同或相近的安全属性，如安全级别、安全威胁、安全弱点、风险等。同一安全域内的系统相互信任。通过安全域的划分，能够将业务系统与安全技术有机结合，形成完整的防护体系。这样既可以对同一安全域内的系统进行统一规范的保护，又可以限制系统风险在网内的任意扩散，从而有效控制安全事件和安全风险的传播。

　　企业可采用两级安全域的划分办法。下图为安全域划分的一般步骤。

　　2.网络安全技术

　　根据安全功能需求对网络安全技术进行归类，形成1AARC框架，即身份识别及鉴权(I)，访问控制(A)，审计和响应(A)，冗余和恢复(R)，内容安全(C)。遵循该框架的定义和原则，对网络安全进行系统部署建设。

　　身份识别与鉴权：用户的帐户管理、用户的认证、授权和审计，为网络管理员提供安全的远程和本地接入系统终端。

　　访问控制：对互联网络、边界网络、企业间网络通过路由器、防火墙、安全网关等设备隔离控制。

　　审计和响应：通过合理部署入侵检测系统、漏洞扫描系统、日志分析系统等，记录操作行为，分析漏洞分布情况，掌握日志记录，定位系统故障和攻击。

　　冗余和恢复：避免网络出现意外而影响业务的正常运行，需要对企业网络的关键部位进行冗余保护，包括网络结构的冗余、关键网络设备的冗余;网络设备的关键部件的冗余等：安全设备的冗余等。

　　内容安全：建立企业防病毒系统，贯彻实施企业防病毒管理机制，定期检查服务器、终端病毒防范的遵循情况，如是否即时更新防病毒代码和系统/应用的安全补丁等。

　　3.网络设备安全配置规范

　　针对不同类型的网络设备，遵循安全配置策略最小化原则进行安全配置，一般应包括一下内容：

　　口令配置与管理：口令长度，复杂度要求，加密要求等。

　　服务管理：关闭非必要服务及端口。

　　访问控制和设备管理：设备登录超时设置、SSH加密登录、登录访问控制，AAA审计等。

　　攻击防范：关闭IP directed broadcast、ICMP unreachables、ICMP redirects、proxy ARP等。

　　路由安全管理：使用路由协议认证，null0接口关闭IP unreachables等。